Ley Marco de Ciberseguridad Chile: Cumplimiento y Servicios para Empresas

La Ley Marco de Ciberseguridad (Ley 21.663, vigente desde 2024) crea la Agencia Nacional de Ciberseguridad (ANCI) y establece obligaciones concretas para los servicios esenciales y los Operadores de Importancia Vital (OIV). Las principales exigencias son: (1) designar un encargado de ciberseguridad con atribuciones formales; (2) implementar una política de ciberseguridad y un sistema de gestión de seguridad de la información; (3) reportar incidentes significativos a la ANCI en plazos definidos (3 a 72 horas según gravedad); (4) realizar evaluaciones periódicas de riesgo y auditorías; (5) mantener planes de continuidad operativa y recuperación; (6) contar con capacidades de respuesta a incidentes (CSIRT interno o tercerizado). El incumplimiento puede acarrear multas de hasta 40.000 UTM para infracciones graves. La implementación práctica requiere auditoría inicial, gap analysis, hardening, definición de procesos y capacitación.

La Ley de Ciberseguridad (Ley 21.663) aplica en dos niveles. El primero son los prestadores de servicios esenciales: energía, agua, telecomunicaciones, transporte, salud, sector financiero (incluidas fintech), infraestructura digital e instituciones del Estado. El segundo nivel son los Operadores de Importancia Vital (OIV), que son determinados por la ANCI según criterios de criticidad, concentración de mercado o impacto en la seguridad nacional: estos tienen las obligaciones más estrictas. Una empresa que no sea OIV ni preste servicios esenciales no queda exenta: las disposiciones generales de buenas prácticas y la Ley 21.719 de datos personales igualmente la alcanzan. La recomendación es hacer un diagnóstico regulatorio para determinar el nivel de obligaciones que aplica a cada organización.

El CSIRT Nacional (operado por la ANCI) es el equipo de coordinación de respuesta a incidentes a nivel país. Actúa como centro de intercambio de información de amenazas, coordina la respuesta entre sectores críticos y recibe notificaciones formales de incidentes significativos. Los Operadores de Importancia Vital y prestadores de servicios esenciales están obligados a notificar incidentes que afecten la confidencialidad, integridad o disponibilidad de sus sistemas dentro de plazos definidos: alerta temprana en hasta 3 horas, notificación formal con detalles en 72 horas, e informe final con análisis. Para cumplir esto, la organización debe tener procedimientos de clasificación de incidentes documentados, canales seguros de comunicación con la ANCI y un equipo (o proveedor) con capacidad CSIRT que opere el runbook de reporte.

Una política de ciberseguridad es el documento maestro que define los principios, objetivos, roles y responsabilidades del programa de seguridad de la información de una organización. La Ley Marco la exige porque es la base sobre la que se construyen todos los controles: sin política aprobada por la dirección, no hay un marco de referencia formal para auditar ni para rendir cuentas al regulador. Una política adecuada debe cubrir: alcance y activos protegidos, roles y responsabilidades (incluyendo el encargado de ciberseguridad), clasificación de información, gestión de riesgos, controles mínimos aplicables, respuesta a incidentes, continuidad operativa y revisión periódica. Implementar esta política y demostrar su cumplimiento efectivo es el primer paso de todo gap analysis frente a la Ley Marco.

El camino práctico para cumplir la ley de ciberseguridad en Chile tiene seis pasos. Primero, determinar si la empresa es servicio esencial u OIV (diagnóstico regulatorio). Segundo, realizar un gap analysis que mapee controles actuales contra los requisitos de la Ley 21.663, la ISO 27001 y la Ley 21.719. Tercero, designar formalmente al encargado de ciberseguridad con las atribuciones que exige la ley. Cuarto, redactar y aprobar la política de ciberseguridad y documentar el sistema de gestión. Quinto, implementar controles técnicos prioritarios: MFA, hardening de sistemas, monitoreo de incidentes, backups inmutables y planes de continuidad. Sexto, operacionalizar la capacidad de reporte a la ANCI (CSIRT propio o externalizado con runbook de notificación). Este proceso toma entre 4 y 12 meses según la madurez previa y el tamaño de la organización.

Más allá del marco regulatorio, la ciberseguridad para empresas en Chile protege la continuidad operativa, los datos de clientes y la reputación corporativa. Un incidente de ransomware, fraude por phishing o filtración de datos genera pérdidas directas, costos de remediación, daño reputacional y potenciales multas por la Ley 21.719 de Protección de Datos Personales. Invertir en ciberseguridad B2B es, en términos prácticos, comprar resiliencia operativa y habilitar relaciones comerciales con clientes que exigen due diligence de seguridad como prerequisito.

El costo de una auditoría de ciberseguridad en Chile depende del alcance, la cantidad de activos evaluados y la profundidad del análisis. Como referencia 2026 (pesos chilenos, sin IVA): una auditoría focalizada en una aplicación web o API parte desde $3.500.000 CLP; una auditoría de infraestructura cloud (AWS/GCP/Azure) con revisión de IAM, redes y data, entre $6.000.000 y $14.000.000 CLP; una auditoría integral ISO 27001/Ley Marco con gap analysis, política, procesos y plan remediación, entre $12.000.000 y $30.000.000 CLP. Un pentest puntual web suele costar entre $2.800.000 y $8.000.000 CLP según número de endpoints y roles. La buena práctica es definir alcance, criticidad y entregables antes de comprometer presupuesto.

Una auditoría de ciberseguridad evalúa el estado integral de controles: políticas, configuraciones, accesos, infraestructura, procesos y cumplimiento normativo. Es horizontal y entrega un gap analysis con plan de remediación. Un pentesting (penetration testing) es ofensivo: simula a un atacante real intentando explotar vulnerabilidades específicas en una aplicación web, API, infraestructura o app móvil para validar qué tan lejos puede llegar y qué impacto produce. En la práctica, ambos se complementan: la auditoría te dice qué controles faltan y el pentest te demuestra cuáles son explotables hoy. Para cumplir la Ley Marco de Ciberseguridad o ISO 27001 normalmente se requiere auditoría; para validar un release crítico, conviene un pentest.

Un CSIRT (Computer Security Incident Response Team) es un equipo responsable de detectar, responder y coordinar incidentes de seguridad. En Chile existe el CSIRT Nacional operado por la ANCI, pero la Ley Marco obliga a Operadores de Importancia Vital y servicios esenciales a contar con capacidades propias de respuesta a incidentes, ya sea internas o externalizadas con un proveedor. La designación implica formalizar el equipo, definir procedimientos de respuesta, canales de reporte a la ANCI, retención de evidencia y simulacros periódicos. Para empresas medianas, lo más común es contratar un SOC gestionado con capacidad CSIRT, mientras se desarrollan capacidades internas.

ISO 27001 es el estándar internacional para sistemas de gestión de seguridad de la información (SGSI). Define controles organizativos, técnicos y de proceso (Anexo A con 93 controles en versión 2022). Para empresas chilenas, certificarse aporta tres beneficios: (1) habilita ventas B2B con clientes que exigen el sello como prerequisito contractual, especialmente fintech, salud, gobierno y empresas globales; (2) cubre buena parte de los requisitos de la Ley Marco de Ciberseguridad chilena; (3) reduce primas de ciberseguros. La inversión típica para una empresa mediana (50-300 colaboradores) es entre $25M y $80M CLP en el primer ciclo, incluyendo consultoría, gap analysis, implementación, auditoría interna y auditoría de certificación con organismo acreditado.

Un SOC (Security Operations Center) es un equipo y plataforma de monitoreo 24/7 que recibe logs, alertas y telemetría desde tus sistemas (endpoints, cloud, red, aplicaciones), correlaciona eventos con un SIEM/XDR y responde a incidentes mediante un runbook definido. Conviene contratarlo cuando tu organización maneja datos sensibles, opera servicios críticos para clientes, debe cumplir Ley Marco o ISO 27001, o ya tuvo incidentes previos. Un SOC interno requiere mínimo 6 analistas para cubrir 24/7 y supera fácilmente los $80M CLP anuales. Un SOC gestionado (MDR) parte desde $2.5M a $6M CLP mensuales según número de activos monitoreados, con time-to-detect bajo 15 minutos y respuesta orquestada por SOAR.

Un plan de ciberseguridad B2B se ejecuta en fases. La auditoría inicial y gap analysis toma 4 a 8 semanas. El plan de remediación de quick wins (MFA, hardening básico, backups, política de ciberseguridad mínima, capacitación) se ejecuta en 8 a 12 semanas. La implementación de un SGSI alineado a ISO 27001 o Ley Marco toma entre 6 y 12 meses dependiendo del tamaño, cultura organizacional y madurez previa. El despliegue de un SOC gestionado puede operativizarse en 4 a 8 semanas. En la práctica, recomendamos iniciar por una hoja de ruta priorizada por riesgo, abordar los controles críticos en los primeros 90 días, y luego avanzar a certificación o cumplimiento formal en paralelo a la operación.